※ [本文转录自 Gossiping 看板 #1M4ZvQ46 ]
作者: n99lu (无梦想) 看板: Gossiping
标题: [新闻] 发现一只立志要当防毒软件的奇怪病毒
时间: Mon Oct 5 17:09:42 2015
1.媒体来源:
ithome
2.完整新闻标题:
赛门铁克发现一只立志要当防毒软件的奇怪病毒
3.完整新闻内文:
赛门铁克发现一只名为Linux.Wifatch奇怪病毒,在感染路由器或其他物联网装置之后,
竟然会保护宿主并帮忙移除其他恶意程式。
赛门铁克研究人员Mario Ballano解释,Wifatch首先发现于2014年,当时独立安全研究人
员发现家中的路由器被植入后门,变成一个由感染装置组成的P2P僵尸网络的一部份。
今年四月赛门铁克在研究包括家用路由器在内的嵌入式装置时,利用蜜罐(honeypot)网
路蒐集到许多Wifatch样本,却发现和一般嵌入式装置威胁很不同。Wifatch大部份是以
Perl语言撰写而成,会瞄准多种芯片架构并注入其静态Perl直译器(interpreter)。它
经由Telnet连线入侵弱密码的装置。装置一旦感染后,就会连上P2P网络散布其软件的更
新版。赛门铁克估计它已感染上万装置。
但研究人员越是深入研究越觉奇怪,Wifatch的程式作者似乎想保护受感染的装置,而不
是用它来从事恶意行为。首先,Wifatch的程式码并不像一般僵尸网络的控制程式,会酬
载恶意活动的相关程式封包,例如用于DDoS攻击等恶意活动的封包,事实上它的程式是用
来强化受感染装置的安全性。
经过数个月的追踪,安全人员没有发现以Wifatch为媒介的恶意活动。此外,它不但试图
消除Telnet daemon以减少感染扩大,还会提供讯息提醒装置使用者记得变更密码,以及
更新韧体。Wifatch的一个模组还会试图移除装置上的其他恶意程式,其中不乏专门瞄准
嵌入式装置的知名恶意程式家族。
这个作者还在程式码中引用自由软件教父Richard Stallman的话:“NSA及FBI探员请看这
里:你在捍卫美国宪法抵御所有国内外敌人时,请想想是否要以史诺登为榜样。”
Wifatch并未以模糊手法隐藏其Perl程式码,而只是利用压缩以减少程式码的大小,但安
全研究人员认为,作者想模糊其程式码绝非难事。此外它还包含除错讯息,方便他人分析
,似乎并不担心第三人加以检视。Wifatch还具有一个针对Dahua DVR CCTV监控器的“攻
击程式”,会设定装置每周重开机一次,推测作者的设计可是要借此重置系统以清除其他
恶意程式。
虽然有种种“善举”,不过赛门铁克仍然指出,Wifatch未经使用者同意就感染装置的行
为和其他恶意程式并无不同。而且它也包含多个可能遭其他骇客使用的后门程式。所幸经
过研究人员检验其密码签章,发现尚未有这情形。
以芯片架构来看,83%受感染装置为ARM平台,其次为MIPS(10%)及SH4(7%),PowerPC
和X86仅极少量。受感染的装置厂商主要来在中国(32%)、巴西(16%),以及墨西哥及
印度(9%)。(编译/林妍溱)
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/99107
5.备注:
电脑也会有益菌